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Verfahren zur Durchfiihrung eines Buchungsvorganges 

Die Erfindung betrifft ein Verfahren zur Durchfiihrung eines 
Buchungsvorganges auf einem mobilen, intelligenten Speicher, 
5 insbesondere einer Chipkarte, mit Hilfe eines Endgerats, das 
drahtlos mit einem Rechner, vorzugsweise iiber Rechnerstatio- 
nen, gesichert kommuniziert, wobei eine gegenseitige dynami- 
sche Authentizitatspriif ung zwischen Rechner bzw. Endgerat und 
Speicher unter Verwendung eines sich standig andernden Daten- 

10 wortes vorgenommen und die Abbuchungsinf ormation vom Rechner 

oder Endgerat generiert. und vom Speicher verarbeitet und quit- 
tiert wird, woraufhin das Endgerat ein Bestatigungssignal fiir 
die Durchfiihrung des Buchungsvorganges zum Rechner leitet und 
ggfs. ein Anerkennungssignal fiir die getatigte Abbuchung er- 

15 halt. 



Eine wiehtige Anwendung eines derartigen Verfahrens besteht in 
der automatischen Gebiihrenerhebung im Straflenverkehr durch 
eine drahtlose Kommunikation zwischen einer straflenseitigen 

20 Einrichtung ( Rechners tation mit Funkbake - Roadside System, 
RSS) und einer f ahr zeugseit icjen Ausriistung ( On-Board-Unit , 
OBU, mit Chipkarte, ICC) . Das im Fahrzeug befindliche, mit 
einer Chipkarte bestiickbare Endgerat (OBU) wird in einer 
bekannten Anordnung als Transponder ausgefiihrt. Die OBU ent- 

25 nimmt dabei dem empfangenen Signal der Funkbake des RSS die 

er f orderliche Energie und sendet an die Funkbake ein mit einem £ 
Datenstrom moduliertes Signal zuriick. 

I ; Es sind zahlreiche Buchungssysteme mit Chipkarten, bekannt , bei ^ 
30 denen der Buchungsvorgang gesichert durch eine gegenseitige ^ 



4 



* • 

2 

Authentizitatspriif ung zwischen Endgerat und Chipkarte ablauft. 
Dabei wird zunachst vom Endgerat ein Buchungssignal erzeugt, 
durch das die Buchungsapplikation auf der Chipkarte selektiert 
wird. Nach Erhalt der Bestatigung der vorgenommenen Selektion 
5 durch die Chipkarte generiert das Endgerate eine Zufallszahl 
und ubertragt diese auf die Chipkarte. Die Chipkarte bildet 
mit der abgespeicherten Signatur unter Verwendung der Zufalls- 
zahl eine Kennung, die auf das Endgerat libertragen wird. Das 
Endgerat extrahiert aus dem Signal die Signatur der Chipkarte 

10 und kann somit erkennen, dafl die Chipkarte fur den Betrieb mit 
dem jeweiligen Endgerat autorisiert ist. Zur umgekehrten Au- 
thentizitatspriif ung generiert nunmehr die Chipkarte eine Zu- 
satzzahl und ubertragt diese auf das Endgerat. Der mit dem 
Endgerat kommuniz ierende Rechner bildet mit der Zufallszahl 

15 und einer eigenen Signatur eine Kennung, die von der Chipkarte 
empfangen und Iiberprlift wird. Nachdem nunmehr die gegenseitige 
Authentizitat festgestellt worden ist, wird von dem Rechner 
liber das Endgerat der Borsenstand der Chipkarte abgefragt. Aus 
den erhaltenen Daten wird ein neuer Borsenstand berechnet und 

20 liber ein Schreibs ignal in die Chipkarte eingelesen. Der Ein- 
lesevorgang wird von der Chipkarte quittiert und das Quit- 
tungssignal auf den Rechner libertragen. Ggf s . veranlafit das 
Gerat ein erneutes Auslesen des nunmehr aktuellen Borsenstan- 
des, urn diesen mit dem errechneten Borsenstand zu vergleichen. 

^ s 

Dieses Buchungsver f ahren setzt somit mindestens 6 Ubertragun- 
gen in beiden Richtungen voraus . Der Buchungsvorgang dauert 
dabei mehrere 100 ms , was im allgemeinen unkritisch ist, da 
regelmaflig genligend Zeit zur Verfiigung steht und die gegensei- 
30 tigen Ubertragungen in der Zeitspanne nicht durch Unter- 
brechungen gefahrdet sind. 

Eine vollig andere Situation ergibt sich jedoch fiir manche 
Anwendungen, insbesondere fiir die Gebiihrener f assung bei 
35 schnellf ahrenden Fahrzeugen. Die Mikrowellen-Funkverbindung 

; zwischen dem Fahrzeuggerat- und der strafienseitigen stationaren 
v - <Funkbake kann unterbrochen werden und mufl darliber hinaus in 
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einer sehr geringen Zeitspanne abgeschlossen sein. Die gesamte 
Zahlungstransaktion muB in einem kurzen Zeitrahmen zwischen 50 
und 100 ms abgeschlossen sein. Dariiber hinaus ist die Kommuni- 
kation zwischen dem Endgerat und der Chipkarte nur moglich, 
5 wenn eine Funkverbindung mit der Funkbake besteht, wenn das 

Endgerat als Transponder ausgefuhrt ist und daher die Energie- 
versorgung aus den empfangenen Signalen der Funkbake entnimmt. 

Hieraus resultiert, daB auch die Kommunikation zwischen Endge- 
10 rat und Chipkarte wahrend des Abbuchungsvorganges anfallig 
gegeniiber Storungen der Funkverbindung ist. Fur einen Hoch- 
geschwindigkeits-Buchungsvorgang ist es daher von eminenter 
Bedeutung, daft die Kommunikation zwischen Endgerat und Chip- 
karte in einem moglichst kurzen Zeitraum erfolgt, da eine Un- 
15 terbrechung des Kommunikationsablauf s entweder erfordert, daB 
die Wiederauf nahme der Kommunikation am gleichen Endgerat er- 
folgt oder da/5 alle Endgerate miteinander vernetzt sind. Beide 
Voraussetzungen sind beispielsweise bei Gebiihrenerf assungssy- 
stemen fur den offentlichen Personennahverkehr regelmaBig 
20 nicht erfiillt. 

Die vorliegende Erfindung geht somit von der Problemstellung 
aus, ein Verfahren zur Durchfuhrung eines Buchungsvorganges 
der eingangs erwahnten Art anzugeben, das eine Hochgeschwin- 
digkeits-Abwicklung erlaubt und eine nur kleine gegen Unter- 
brechungen empfindliche Zeitspanne aufweist. 

Ausgehend von dieser Problemsiellung ist ein Verfahren der 
eingangs erwahnten Art dadurch. gelost, daB vor einer gegen 
30 Unterbrechungen empf indlichen Zeitspanne ein zur dynamischen 
Authentizitatspruf ung generiertes erstes Datenwort vom Spei- 
cher auf das Endgerat iibertragen wird, 

daB wahrend der gegen Unterbrechungen empf indlichen Zeitspanne 
vom Endgerat auf den Speicher ein einziges Signal Iibertragen 
35 wird, das ein Buchungsauslosesignal , einen Buchungsdatensatz , 
; eine unter Verwendung des^yorher iibertragenen ersten Daten- 



worts generierte Kennung unci ein zweites vom Endgerat 
generiertes zweites Datenwort enthalt, woraufhin der Speicher 
die Kennung priift, die Buchung gema/5 dem Buchungsdatensatz 
vornimmt, eine eigene Kennung unter Verwendung des zweiten 
Datenworts generiert und vom Speicher ein Betatigungssignal 
fur die vorgenommene Buchung zusammen mit seiner generierten 
Kennung iiber das Endgerat auf den Rechner iibertragen wird, 
und dafl die Bestatigung fiir die Durchfiihrung der Buchung vom 
Endgerat auf den Rechner wahlweise innerhalb oder aufterhalb 
der gegen Unterbrechungen empf indlichen Zeitspanne iibertragen 
wird. 

Die Erfindung beruht darauf, dafi die bisher iibliche sequen- 
tielle Kommunikation zur gegenseitigen Authentizitatspriif ung , 
zur Selektion der Applikation und zur Durchfiihrung des 
Buchungsvorganges in ein einziges Kommandosignal zusammenfaft- 
bar sind. Demgemafi reduziert sich die wahrend der gegen Unter- 
brechungen empf indlichen Zeitspanne durchgef iihrte Kommunika- 
tion auf ein vom Rechner bzw. Endgerat auf die Chipkarte iiber- 
tragenes Signal und ein von der Chipkarte zum Rechner bzw; 
Endgerat zuriickiibertragenes Signal, das nach den Verarbei- 
tungsvorgangen auf der Chipkarte erzeugt wird. Voraussetzung." 
fiir diese Kommunikation ist die vorherige Ubertragung eines 
ersten Datenworts vom Speicher auf das Endgerat, wobei das 
erste Datenwort eine Zeitangabe oder eine Zufallszahl sein 
kann. Die Komple tt ierung der Abbuchung kann ferner aufterhalb 
der gegen Unterbrechungen empf indlichen Zeitspanne durch die 
spater erfolgte Bestatigung fiir die Durchfiihrung der Buchung 
vom Endgerat an den Rechner erfolgen. Die gegenseitige Authen- 
tizitatspriif ung wird regelmaflig zwischen Rechner und Speicher 
unter Zwischenschal tung des Endgerates erfolgen. Es ist aber 
auch denkbar, eine Authentizitatspriif ung nur zwischen Endgerat 
und Speicher vorzunehmen und lediglich das Ergebnis der Prii- 
fung dem Rechner explizit oder implizit mitzuteilen. 

In einer bevorzugten Ausf iihrungsf orm der Erfindung^ enthalt der 
Buchungsdatensatz zugleich einen Transaktionsdatensatz zur 
Erstellung eines Logbucheintrags im Speicher. Auf diese Weise 



wird im Speicher ein komplettes Logbuch erzeugt, das alle Vor- 
gange und Gebuhrenhohen dokumentiert . 

Zweckmafligerweise wird der Transaktionsdatensatz im Speicher 
5 durch das auflerhalb der gegen Unterbrechungen empf indlichen 

Zeitspanne iibertragene Anerkennungssignal vom Rechner erganzt. 
Ohne das Anerkennungssignal ist der Transaktionsdatensatz nur 
vorlauf ig . 

10 Die vorzugsweise als Speicher verwendeten Chipkarten enthalten 
haufig nicht f liichtige Speicher (EEPROM), die physikalisch sei- 
tenweise organisiert sind. Der Schreibvorgang in einem derar- 
tigen Speicher ist zeitauf wendig und jeweils nur fur eine Sei- 
te moglich. Uber der physikalischen Ebene liegt eine logische 

15 Organisation in Dateien durch das Chipkarten-Betriebssystem . 
Die Datei, die die Daten enthalt, die von einer Buchung be- 
troffen sind, also ublicherweise eine Datei fiir eine Geldbor- 
se, ist regelmaBig getrennt von der Logbuch-Datei angelegt. 
Ein Zugriff auf die Geldborsen-Datei und die Logbuch-Datei 

20 erfordert daher herkommlich mindestens zwei zeitauf wendige 
phys ikalische Schreibzugrif f e auf den nicht fllichtigen 
Speicher. Fiir den erf indungsgemaBen Zweck einer Hochgeschwin- 
digkeits-Abbuchung ist es daher auBerordentlich vorteilhaft, 
wenn in^einer Ausgestal tung des erf indungsgemaBen Verfahrens 

^ der (vorlauf ige) Transaktionsdatensatz auf der Seite abgelegt 
wird, auf der sich die der Buchung unterliegenden Daten be- 
finden und wenn die Ubertragung auf eine Logbuch-Datei aufler- 
halb der gegen Unterbrechungen empf indlichen Zeitspanne er- 
folgt. Urn sicherzustellen, daB diese Ubertragung auf die Log- 

30 buch-Datei immer erfolgt, kann ein Zus tandsautomat auf der 
Chipkarte implement iert werden, der eine erneute Abbuchung 
erst nach er f olgreicher Ubertragung in die Logbuch-Datei ge- 
stattet. Alternativ hierzu kann bei einer erneuten Abbuchung 
selbstandig zuerst die Ubertragung des letzten Transaktions- 

35 datensatzes vorgenommen werden. Hiermit ware allerdings ein 

t Zeitnachteil verbunden. ,r 
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In heutiger Technik laflt sich der zeitkritische Abbuchungsvor- 
gang zwischen Endgerat und Speicher auf iiber 150.000 Baud be- 
schleunigen . 

5 Die Erfindung soil im folgenden anhand eines in der Zeichnung 
dargestellten Aus f iihrungsbeispiels naher erlautert werden: 
Es zeigen: 

Figur 1 - eine schematische Darstellung der Kommunikation 
10 zwischen einer Funkbake, einer Rechners tation 

und einem fahrenden Kraftfahrzeug, das mit ei- 
nem Endgerat mit einer Chipkarte ausgestattet 
ist, 

15 Figur 2 - eine schematische Darstellung des fiir eine Bu- 

chung erf indungsgemafl benotigten kompakten Kom- 
munikat ions vorgangs zwischen dem Endgerat und 
der Chipkarte. 

20 Figur 1 lafit eine straBenseitige Rechnerstation 1 mit einer 

Funkbake 2 erkennen, mit der eine Kommunikation mit einem fah- 
renden Kraftfahrzeug 3 durchgefiihrt wird. Hierfiir ist das fah- 
rende Kraftfahrzeug mit einem Endgerat OBU ausgestattet, des- 
sen Gebuhrenguthaben bzw. -kredit auf einer Chipkarte ICC ge- 

n 5 speichert ist. 

Beim Durchfahren des Kommunikationsbereichs , der im vorliegen- 
den Fall etwa 4,5 m betragt sail die Strafienbenutzungsgebuhr 
vom Guthaben auf der Chipkarte ICC abgebucht bzw. auf dem Kre- 
30 ditkonto der Chipkarte ICC gebucht werden. 

Der hierfiir erf orderliche Kommunikationsablauf sieht ein 
Initiierungssignal der Funkbake 2 vor, auf das das Endgerat 
OBU mit -einem "Service Request " -Signal antwortet. Daraufhin 
35 erzeugt die Funkbake 2 ein "Debit Order " -Signal , das von dem 
\ Endgerat OBU als "Debit Command" auf die Chipkarte ICC iiber- 
\ feragen wird. Nach Durchfuhrung der Abbuchung erzeugt die Chip- 
karte ein Quittungssignal "Receipt", das aufgrund eines Ini- 
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tiierungssignals der Funkbake 2 von dem Endgerat OBU auf die 
Funkbake 2 ubertragen wird. Den ordnungsgemafien Erhalt des 
Quittungssignals bestatigt die Funkbake 2 dann als 
"Acknowledge" woraufhin das Endgerat OBU das Anerkennungs- 
5 signal zur Vervolls tandigung eines Transaktionsdatensatzes auf 
die Chipkarte ubertragt und die Chipkarte die Daten fur den 
nachsten "Service Request" beim Endgerat OBU bereitstellt . 

Der zeitkritische Teil dieser Kommunikation liegt zwischen der 
10 Erstellung der "Debit Order" durch die Funkbake 2 bis zum 
Ubertragen des Anerkennungssignals auf das Endgerat OBU. 

Diese s toranf allige Kommunikation wird erf indungsgemafi inner- 
halb kurzester Zeit dadurch durchgef uhrt , dafi gemafl Figur 2 

15 von dem Endgerat OBU ein MAKRO-Signal auf die Chipkarte ICC 

ubermittelt wird, das ein Selektionssignal fur die betreffende 
Applikation APPL (Buchung), ein Buchungsauslosesignal CMD, den 
Buchungsbetrag B, die eigene Signatur SI und eine generierte 
Zufallszahl R2 enthalt. Vorzugsweise enthalt das MAKRO-Signal 

20 ferner noch einen vorlaufigen Transaktionsdatensatz L zur Er- 

stellung einer Logbuchinf ormation in der Chipkarte ICC. 
Transaktionsdatensatz und Buchungsbetrag B bilden zusammen 
einen Buchungsdatensat z . 

75 Die Signatur SI wird dabei vorzugsweise verschliisselt ubertra- 
gen, wozu ein erstes Datenwort Rl benutzt wird, das in Form 
eines Zeitsignals oder einer Zufallszahl vorher von der Chip- 
karte ICC auf das Endgerat OBU ubertragen worden ist. 

30 Die Chipkarte ICC selektiert die Applikation gemafi APPL, priift 
die Signatur SI und den Buchungsbetrag B, berechnet und 
schreibt den neuen Borsenstand in der Geldborsendatei sowie 
die Logbuchinf ormation L, um so die Buchung vorzunehmen. Fer- 
ner berechnet die Chipkarte ICC unter Verwendung des von dem 
35 Endgerat OBU generierten zweiten Datenworts R2 , das ebenfalls 
* eine Zufallszahl oder eine Zeitinf ormation ist, eine zweite 
\ "Kennung mit Hilfe der eigenen Signatur S2 . 
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Die Chipkarte iibertragt nach Durchfiihrung dieser Aktionen ein 
Quittiersignal und die zweite Kennung mit der Signatur S2 auf 
das Endgerat OBU . Von dem Endgerat OBU wird das Quittiersignal 
auf die Funkbake 2, also den Rechner 1 iibertragen, der so die 
5 Authentizitat der Chipkarte ICC uberpruft und erkennt. 

Die Komplettierung des vorlaufigen Transaktionsdatensatzes in 
der Chipkarte ICC erfolgt durch ein Bes tatigungss ignal des 
Rechners 1 fur den Empfang des Quittungssignals fur die durch- 
10 gefiihrte Buchung. 

Das Anerkennungssignal des Rechners 1 kann dazu verwendet wer- 
den, in der Chipkarte eine Ubertragung des vorlaufig abgeleg- 
ten Transaktionsdatensatzes in eine Logbuch-Datei vorzunehmen . 

15 
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Patentanspruche 

1 . Verf ahren zur Durchf iihrung eines Buchungsvorganges auf 

einem mobilen, intelligenten Speicher (ICC), insbesondere 
einer Chipkarte, mit Hilfe eines Endgerats OBU, das 
drahtlos mit einem Rechner (1), vorzugsweise liber Rech- 
nerstationen, gesichert koinmuniziert , wobei eine gegen- 
seitige dynamische Authentizitatspriif ung zwischen Rechner 
(1) bzw. Endgerat (OBU) und Speicher (ICC) unter Verwen- 
dung eines sich standig andernden Datenworts (Rl/ R2 ) 
vorgenommen und die Abbuchungsinf ormation vom Rechner (1) 
oder Endgerat (OBU) generiert und vom Speicher (ICC) ver- 
arbeitet und quittiert wird, woraufhin das Endgerat (OBU) 
ein Bestatigungssignal fiir die Durchfiihrung des Buchungs- 
vorganges zum Rechner (1) leitet und ggf s . ein Anerken- 
nungssignal fiir die getatigte Abbuchung erhalt, dadurch 
gekennzeichnet , daJ3 vor einer gegen Unterbrechungen emp- 
findlichen Zeitspanne ein zur dynamischen Authentizitats- 
priif ung generiertes erstes Datenwort (Rl) vom Speicher 
(ICC) auf das Endgerat (OBU) iibertragen wird, daft 
wahrend der gegen Unterbrechungen empf indlichen Zeitspan- 
ne vom Endgerat (OBU) auf den Speicher (ICC) ein einziges 
Signal (MAKRO) iibertragen wird, das ein Buchungsaus- 

; losungssignal (CMD) , einen Buchungsdatensatz *(B, L) , eine 

unter Verwendung des vorher iibertragenen ersten Daten- 



worts (Rl) generierte Kennung (SI) und ein zweites, vom 
Rechner (1) oder Endgerat (OBU) generiertes Datenwort 
(R2) enthalt, woraufhin der Speicher (ICC) die Kennung 
(SI) priift, die Buchung gemafi dem Buchungsdatensatz 
(B f L) , vornimmt, eine eigene Kennung (S2) unter Verwen- 
dung des zweiten Datenworts (R2) generiert und vom Spei- 
cher (ICC) ein Bes tatigungssignal fur die vorgenommene 
Buchung zusammen mit seiner generierten Kennung (S2) iiber 
das Endgerat (OBU) auf den Rechner (1) ubertragen wird, 
und daB die Bestatigung fiir die Durchfiihrung der Buchung 
vom Endgerat (OBU) auf den Rechner (1) wahlweise inner- 
halb oder auBerhalb der gegen Unterbrechungen empfindli- 
chen Zeitspanne ubertragen wird. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, daft 
der Buchungsdatensatz (B, L) einen Transaktionsdatensatz 

(L) zur Erstellung eines Logbuch-Eintrags im Speicher 

(ICC) umfaflt. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 
daft der Transaktionsdatensatz (L) im Speicher (ICC) durch 
das auBerhalb der gegen Unterbrechungen empf indlichen 
Zeitspanne iibertragene Anerkennungss ignal erganzt wird . 

Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, 
daB der Transaktionsdatensatz (L) in einem seitenweise 
organisierten Speicher wahrend der gegen Unterbrechungen 
empf indlichen Zeitspanne ^vorlauf ig auf der Seite abgelegt 
wird, auf der sich die der Buchung unterliegenden Daten 
befinden, und daft die Ubertragung auf eine Logbuch-Datei 
auBerhalb der Zeitspanne erfolgt. 

Verfahren nach Anspruch 4, dadurch gekennzeichnet, daB 
der Speicher (ICC) fiir einen Buchungsvorgang gesperrt 
ist, solange eine vorlaufig abgelegter Transaktionsdaten- 
satz (L) noch nicht in die Logbuch-Datei iibernommen wor- 
den ist. 



Verfahren nach einem der Anspriiche 1 bis 5 zur Abbuchung 
von Benutzungsentgelten . 

Verfahren nach Anspruch 6 zur Gebuhrenerf assung fur 
Kraf tf ahrzeuge ( 3 ) . 



♦ 
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Zusammenf assung 

Bei einem Verfahren zur Durchf iihrung eines Buchungsvorganges 
auf einem mobilen, intelligenten Speicher (ICC), insbesondere 
einer Chipkarte, mit Hilfe eines Endgerats OBU, das drahtlos 
mit einem Rechner (1), vorzugsweise iiber Rechnerstationen, 
gesichert koitununiziert , laflt sich eine Hochgeschwindigkeits- 
Abbuchung mit einem geringen Unterbrechungsrisiko dadurch rea- 
lisieren, dafl vor einer gegen Unterbrechungen empf indlichen 
Zeitspanne ein zur dynamischen Authentizitatspruf ung generier- 

10 tes erstes Datenwort (Rl) vom Speicher (ICC) auf das Endgerat 
(OBU) iibertragen wird, daB wahrend der gegen Unterbrechungen 
empf indlichen Zeitspanne vom Endgerat (OBU) auf den Speicher 
(ICC) ein einziges Signal (MAKRO) iibertragen wird, das ein 
Buchungsauslosungssignal (CMD) , einen Buchungsdatensatz (B, 

15 L) , eine unter Verwendung des vorher iibertragenen ersten Da- 
tenwort s (Rl) generierte Kennung (SI) und ein zweites , vom 
Rechner "(1) oder Endgerat (OBU) generiertes Datenwort (R2) 
enthalt, woraufhin der Speicher (ICC) die Kennung (SI) priift, 
die Buchung gemafl dem Buchungsdatensatz (B, L) , vornimmt, eine 

20 eigene Kennung (S2) unter Verwendung des zweiten Datenworts 
(R2) generiert und vom Speicher (ICC) ein Bestatigungssignal 
fur die vorgenommene Buchung zusammen mit seiner generierten 
Kennung (S2) iiber das Endgerat (OBU) auf den Rechner (1) iiber- 
tragen wird. 

(Figur 2) 



